專門提供各種駭客工具及服務的Hacking Team在去年7月被駭,內部資料流落網路,資安業者除了透過外流的攻擊程式揭露漏洞之外,卡巴斯基實驗室(Kaspersky Lab)也在周三(1/13)指出,微軟本周修補的Silverlight漏洞亦是該實驗室藉由曝光的Hacking Team文件循線找到的。
攻擊Hacking Team的駭客在網路上釋出了Hacking Team的各種機密資訊,從客戶名單、攻擊程式到內部郵件,資安業者已從這些文件中找出Flash及Windows核心的零時差漏洞,而卡巴斯基則是自郵件內容發現了Silverlight漏洞。
卡巴斯基說明,一名俄國駭客Vitaliy Toropov向Hacking Team兜售數個攻擊程式,攻擊目標涵蓋Flash、Silverlight、Java與Safari,並宣稱皆鎖定零時差攻擊漏洞,售價從3萬4.5萬美元不等,雖然Hacking Team最後只買了Flash攻擊程式,但該實驗室卻對信中提及的Silverlight漏洞產生興趣,因而展開研究,並成功發現漏洞。
卡巴斯基實驗室研究人員Brian Bartholomew表示,Silverlight漏洞並不常見,要開採Silverlight的零時差漏洞需要相當的技術,可是一旦其概念性驗證程式落入他人的手中,要製造攻擊武器就不那麼困難了。
微軟已於本周的例行性安全更新中修補了此一漏洞,根據微軟的MS16-006安全公告,當使用者瀏覽被嵌入特定Silverlight程式的受害網站後,該漏洞將允許駭客執行遠端程式。該漏洞同時影響Windows與Mac平台上的Silverlight,且被列為應即刻更新的「重大」等級。